2020年,注定是要被历史铭记的一年,除了肆虐全球的新冠病毒,网络“疫情”也没有消停,各种新型勒索病毒不断涌现,黑客组织陆续壮大,甚至不少国外一些主流的勒索病毒运营团队在国内寻找勒索病毒分销运营商,通过暗网与国外运营商进行合作,进行勒索病毒的分发传播,谋取暴利。
一、2020年勒索病毒事件
在魔幻的2020年,从勒索病毒新面孔WannaRen火上热搜,到知名B站UP主被勒索后在线求助,可以看出勒索病毒依然是网络病毒中的“顶流”。下面我们来盘点部分2020年全球勒索病毒大事件。
3月,特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的精密零件供应商,总部位于科罗拉多州丹佛的Visser Precision遭受勒索软件DoppelPaymer攻击,黑客已经泄漏Visser Precision与特斯拉和SpaceX签署的保密协议。
4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,10TB的敏感数据文件遭泄,赎金高达1090万美金。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。
6月,日本汽车巨头本田的服务器遭受到了Ekans勒索软件攻击,这款新型病毒具有锁定工厂中的工业控制系统和机械的功能,直接重创本田的工业生产核心,导致其日本总部以外多国工厂出现了生产停顿问题。韩国两大电子巨头SK Hynix、 LG电子的网站被Maze组织攻击,大量机密被窃取。
7月,日本数码摄像机厂商佳能遭受Maze团伙勒索攻击,其中影响包含电子邮件、微软团队、美国网站以及其他内部应用程序。美国知名穿戴设备制造商佳明 (Garmin) 遭WastedLocker勒索软件攻击,导致国际服务器瘫痪,攻击者向Garmin索要高达1000万美元赎金。
8月,全球最大的游轮运营商嘉年华游轮集团(Carnival Corporation)遭受了勒索病毒攻击。嘉年华公司指出,攻击者“访问并加密了公司信息技术系统的一部分”,入侵者还从公司的网络下载了文件。
9月,德国杜塞尔多夫大学医院遭遇勒索软件攻击,造成IT系统中断,进而导致门诊治疗和紧急护理无法正常进行。一名患者被迫转移到另一家医院接受救治。然而在转移途中,患者不幸身亡。此事件被认为是首例因勒索攻击导致人员死亡案例,德国警方也将案件性质调升为谋杀案。
10月,物联网厂商研华科技遭遇了来自Conti勒索软件团伙的攻击,黑客组织提出了750个比特币的赎金要求(约合1300万美元),否则将会把所盗数据逐步泄露在网络上。德国第二大软件供应商Softawre AG遭到勒索软件“Clop”的攻击,其内部软件被加密,该攻击发起者要求提供2000万美元,才能给到解密密钥。
11月,位于墨西哥的富士康工厂遭到了DoppelPaymer勒索软件的攻击。DoppelPaymer加密了约1200台服务器,窃取了100 GB的未加密文件,删除了20TB至30 TB的备份内容,并要求富士康支付1804枚比特币(约为3468万美元)以获取解密工具。
12月,印度电子商务支付系统和金融技术公司Paytm被勒索软件攻击,遭受了大规模的数据泄露,其电商网站Paytm Mall的中心数据库被入侵,黑客在向Paytm Mall索要赎金的同时,并未停止在黑客论坛上出售其数据。
二、2020年五大勒索病毒
通过分析2020年的勒索攻击事件,可以发现勒索软件的攻击是全球性、广泛性发展的,并且勒索攻击呈现集聚化发展,主要的勒索攻击事件都来自少数几个勒索软件家族。
1、Maze勒索病毒
Maze勒索软件是ChaCha的一个变种。最初,Maze是使用如Fallout EK和Spelevo EK之类的漏洞利用工具包通过网站进行传播,该工具包利用Flash Player漏洞。后续Maze勒索软件增加了利用Pulse VPN的漏洞与Windows VBScript Engine远程代码执行漏洞的能力。
Maze组织的独到之处在于,它会运行独特的脚本检测受感染机器是家用电脑、服务器还是工作站,之后根据受害者设备价值来确认勒索的具体金额。
2、Ryuk勒索病毒
Ryuk勒索病毒主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播,由黑客团伙GrimSpider幕后操作运营,被用于对大型企业及组织进行针对性攻击。
Ryuk特别狡诈的一个功能是可以禁用被感染电脑上的Windows系统还原Windows System Restore选项,令受害者更难以在不支付赎金的情况下找回被加密的数据。
3、DoppelPaymer勒索病毒
DoppelPaymer是BitPaymer 勒索软件的一类新变种,代表了勒索软件攻击的新趋势——勒索文件加密和数据窃取双管齐下。DoppelPaymer至少有8种变体,它们逐渐扩展各自的特征集。
DopelPaymer受到Maze勒索软件的极大启发,但其勒索信息并不会提示受害组织数据已被盗,仅提供支付赎金的网站地址。
4、Clop勒索病毒
Clop勒索病毒首先会结束电脑中运行的文件进程,增加加密过程的成功率,背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。
与其他勒索病毒不同的是,Clop勒索病毒部分情况下携带了有效的数字签名,这意味着它在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,造成无法逆转的损失。
5、Ekans勒索病毒
Ekans勒索病毒(也称Snake)的主要目标是工业控制系统(ICS)环境,通过解析受害者公司的域名,并将这些信息与IP列表进行比较,来确认目标。一旦目标被捕获,Ekans就会扫描域控制器以进行攻击。
Ekans代码中包含一系列特定用于工业控制系统功能相关的命令与过程,可导致与工业控制系统(ICS)操作相关的诸多流程应用程序停滞。
三、勒索病毒发展趋势
勒索病毒是近年来黑客组织牟取暴利的绝佳手段,也是发展最快的网络安全威胁之一。在后疫情时代,勒索病毒携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力,开启了“重装上阵”的疯狂模式。
1、双重勒索成为新常态
在对受害者的数据库进行加密之前,攻击者会提取大量敏感的商业信息,并威胁不支付赎金就发布这些信息,使得机构不仅要面临破坏性的数据泄露,还有相关的法规、财务和声誉影响,这给企业增加了满足黑客要求的压力。
2、IoT成为勒索软件攻击新突破口
勒索病毒所攻击的对象,已经不限于个人PC、防护能力较弱的传统企业、政府、学校网站,万物互联时代的工厂、工业设备、智能摄像头、路由器等诸多设备也被当成目标锁定。黑客通常通过向互联网开放的IoT设备来访问公司网络,每个连接的设备都是黑客安装IoT勒索软件并要求付款的潜在入口。
3、关键基础设施成勒索软件攻击的重要目标
大型政企机构的网络资产价值高,所以成了勒索病毒的头号“猎物”。为了“一网打尽”,勒索病毒往往会在攻陷一台机器后,再利用其进行较长时间持续渗透,攻陷更多机器后再大量植入文件加密模块,造成政企的业务系统大面积瘫痪。根据COVEWARE公司的报告,2020年第一季度,企业平均赎金支付增加至111,605美元,比2019年第四季度增长了33%。
4、远程办公被攻击者视为重要的可乘之机
受新冠疫情大流行和全球数字化进程加快的驱动,数以百万计远程办公场景的快速激增一定程度上因网络开放度的提升和接口的增多,而给勒索病毒造就了新的攻击面。Datto的《Global State of the Channel Ransomware Report》(全球渠道勒索软件状况报告)显示,59%的受访者表示由于冠状病毒(COVID-19)大流行而导致的远程工作导致勒索软件攻击的增加。
5、云原生下的数据安全将成为重中之重
根据咨询机构的相关数据,疫情当前,近70%的企业组织计划增加云的投入,而微服务、容器化、DevOps、持续交付等特点,也让云原生将重塑IT技术体系。达摩院2021十大科技趋势认为,云原生可将网络、服务器、操作系统等基础架构层高度抽象化,降低计算成本、提升迭代效率,大幅降低云计算使用门槛、拓展技术应用边界。因此,基于云架构的层次化防勒索预案方案将成为数据安全的重要手段。
今天,勒索病毒是所有数字化从业者都必须面临并予以重视的安全威胁, 而勒索病毒的防治是需要涵盖网络安全、数据备份、人员意识提升等多方面因素在内的全面的、 多线程的一体化工作。这份工作,不容懈怠。
进一步了解阿里云勒索病毒解决方案:
https://www.aliyun.com/solution/security/bvp
